03-5946-8400
HOME
目次
SIEM(シーム)でさまざまなログを一元管理・分析してセキュリティリスクを低減しよう
サイバー攻撃の手法は年々進化し、より高度に複雑化しています。また、日々新たなコンピュータウィルスも発見されており、企業や組織におけるセキュリティインシデントは増加傾向にあります。
情報資産を守るために様々なセキュリティ対策が存在しますが、何から手をつけるべきか、お悩みの企業も多いのではないでしょうか。セキュリティインシデントを未然に防ぐために、いま注目されているのがSIEM(シーム)です。
SIEMとは、さまざまなログを一元管理し、分析を行い、早期の脅威検出をサポートするテクノロジーです。AI(人工知能)やDeep Learning(深層学習)といった分析機能の進化を背景に、国内でも導入が進んでいます。今回は、より身近なテクノロジーとなったSIEMについて解説していきます。
1. SIEMとは?
SIEMは、Security Information and Event Managementの略です。日本語では「セキュリティ情報、イベント管理」と訳されます。SIEMは、様々なネットワーク機器やセキュリティ機器のログデータを収集し、リアルタイムで脅威を検出するセキュリティ管理システムです。ログデータを可視化して解析・分析を行うことで脅威の予兆を捉え、いち早く不審な動きを検出し、セキュリティインシデントを未然に防ぐことができます。
2. SIEMの仕組みとSIEMを活用してできること
それでは、SIEMの仕組みと活用してできることを具体的に見ていきましょう。
2.1 SIEMの仕組み
SIEMは様々なネットワーク、セキュリティ機器、サーバーを情報のソースとして、ログやイベントデータを一元的に取り込みます。主に、以下のデバイスをソースとすることができます。
- ネットワーク機器
ルーター、ファイアウォール、スイッチ、ブリッジ、ハブ、Wi-Fiアクセスポイント、モデム等 - セキュリティ機器
IDS/IPS、ファイアウォール、WAF、エンドポイントウィルス対策ソフト、Webフィルター、アプリケーションフィルター、UTM等 - サーバー
Webサーバー、プロキシサーバー、メールサーバー、FTPサーバー、認証サーバー等
これらの情報ソースから取り込んだデータに対し、時間軸・イベント軸などで相関分析を行い、その結果を可視化して潜在的な脅威を特定します。
例えば、平日業務時間帯に大量のUDPパケットを社内のIDS /IPSで検出したとします。IDS /IPSという単体のセキュリティ機器で見れば、これはUDPフラッドという攻撃と判断されるかもしれません。しかし、アプリケーションフィルターでは許可されたWeb会議ソフトであり、通信は許可されました。時間軸とイベント軸の相関関係から通信は正常の範囲内であると判断することができます。
これはあくまで簡単な例ではありますが、このようにSIEMはログ、イベントを相関分析し可視化できる仕組みを持っています。また前述した通り、テクノロジーの進化とコンピューターの性能向上により高度な相関性分析とリスク評価が可能となり、リアルタイム検出・対処精度が向上しました。
2.2 SIEMでできること(SIEMの主な機能)
次に、SIEMを利用してできることについて解説します。
- リアルタイム監視
SIEMはログデータやイベントデータの監視・相関分析をリアルタイムで行うことができます。ここで検出された脅威は通知や可視化ができるので、早期のインシデントレスポンスに活用できます。 - ユーザー監視
SIEMはユーザーの挙動を監視することができます。ユーザーのアクセスデータ、認証データなどユーザーの挙動を機械学習により自動的に解析し脅威を検出します。近年のサイバー攻撃はエンドポイントが標的になることも多いため、SIEM機能をユーザー監視に活用するケースが増えています。また、ユーザー監視は内部の不正対策の抑止効果も期待できます。 - データ統合管理
SIEMは様々な機器やソフトウェアから正規化した状態でログの収集を行うことができます。また、取得したログを一元管理できるため、ログ可視化・ログ保管など運用面においても効率的な管理を実現します。
3. SIEMの活用事例
SIEMは上述した基本機能の利用だけでなく、様々な応用効果が期待できます。
3.1 第三者の評価機関に対するSIEMの活用
SIEMによるログ取得及びログ解析は、PCI DSS、GDPR、HIPAA、SOXなどの第三者の各基準評価への準拠に活用することができます。セキュリティの法令化が世界的に強化される昨今、GDPRのような個人データやプライバシーの保護に関する規制が世界的に適用される可能性が高まるでしょう。
3.2 EDRと連携したSIEMの活用
デバイスが進化し、クラウド環境やIoT環境が整備され、エンドポイントデバイスがオフィスを経由せずに直接システムに接続されるケースが増えてきました。SIEMはデバイス個別に実装された、EDR(Endpoint Detection & Response)と呼ばれる高機能エンドポイントと連携することで、相関関係だけでなく、インシデントの根本原因特定に至るまでの高度な解析が可能となります。
4. SIEMを運用するために必要なスキル
ここまでSIMEの仕組み、基本機能でできること、応用方法を解説してきました。では、このSIEMの機能を運用で使いこなすために必要とされるスキルとはどのようなものでしょうか。ここでは、SIEMの利用を前提にしたセキュリティ運用フェーズにおいて、SIEMで行う部分、ITエンジニアが担う部分をそれぞれ考察していきます。
4.1 企画
SIEMへ集約するシステムを選定し、ログをSIEMへ送信するための設定を行います。この時、ITエンジニアは送出するログレベルなどシステムごとのチューニングが必要です。また、SIEMへ対しては、IP疎通可能な状態をあらかじめ構築しておく必要があります。
4.2 インシデント一次対応
SIEMで脅威を検出した際にリアルタイムに分析、対応を行います。この点においては、SIEMで対応を完結させる設定も可能です。しかし、SIEMの脅威検出はチューニングを行わないと、大量のアラートが発生します。これをノイズと呼びます。脅威の検出が誤検知であった場合、ITエンジニアがその内容を調査し、ノイズの抑止チューニングを行います。
4.3 インシデント二次対応
一次対応が完了した後に、詳細分析、原因究明を行います。SIEMによる相関分析で、ある程度調査の道筋を立てることができます。しかし、原因究明のためには、遡っての調査が必要です。そのため、ITエンジニアがSIEMのプラットフォームを利用し、横断的に調査を主導する形が想定されます。また、原因の特定に至った場合、検体の取得などが必要であれば、ITエンジニアが個別の機器を調査しなければなりません。
4.4 リサーチ・解析
インシデント対応が一通り完了したら、攻撃の全容を把握するための調査に入ります。この工程においてもSIEMの情報は活用できますが、サイバー攻撃という観点から、どのような手法で、どのような情報資産が被害を受けたのかなどをまとめるのは、ITエンジニア及び関連部署が対応することになるでしょう。
4.5 フォレンジック
攻撃の手法にもよりますが、関連したコンピュータに対するフォレンジックを行います。ネットワークフォレンジックという領域ではSIEMで収集したログが活用できますが、ハードディスクやメモリに対するフォレンジックであった場合、ITエンジニアによる対応が必要でしょう。
4.6 運用へ展開(周知や教育)
ここまでの情報を整理し、関係者への報告と、必要であれば企業内でセキュリティ教育などリテラシーの向上に取り組みます。この領域はITエンジニア及び関連部署との連携が必要です。
セキュリティ運用フェーズにおける、SIEM・ITエンジニアそれぞれの対応領域を見てきました。現状、SIEMを取り扱うためには、専門知識を有するITエンジニア、もしくはセキュリティエンジニアの人材確保が必須と言えるでしょう。
5. まとめ
近年、SIEMの市場は増加傾向にあり、大変注目されているセキュリティ分野です。しかしながらSIEMは使いこなすのが難しく、運用管理においては技術的知識と経験を持ったセキュリティエンジニアが必要です。
今後は、AIやDeep Learningといった機械学習分野のさらなる進化に伴い、専門家の分析やレポーティングが付帯した「サービス」としてのSIEMも需要が高まるでしょう。自社への導入や運用については、ぜひ専門家の支援もご検討ください。
Tag: セキュリティ
Contactお問い合わせ
お見積もり・ご相談など、お気軽にお問い合わせください。